Compartir a través de

Cómo delegar Domain-Level acceso al archivo

  • Artículo

Configure la delegación para su entorno para que directiva de grupo administradores tengan el acceso y el control adecuados sobre los objetos de directiva de grupo (GPO) en el archivo. Hay permisos de línea base que puede aplicar para que la operación sea más eficaz. Puede conceder permisos de cualquier manera que satisfaga las necesidades de su organización.

Se requiere una cuenta de usuario con el rol de administrador de AGPM (control total) o los permisos necesarios en Administración avanzada de directiva de grupo (AGPM) para completar este procedimiento. Revise los detalles de "Consideraciones adicionales" de este tema.

Para delegar el acceso para que los usuarios y grupos tengan los permisos adecuados para todos los GPO de un dominio

  1. En el árbol directiva de grupo Consola de administración, haga clic en Cambiar control en el bosque y dominio en el que desea administrar gpo.

  2. Haga clic en la pestaña Delegación de dominio y configure el acceso a todos los GPO del dominio:

    1. Para agregar acceso para un usuario o grupo, haga clic en el botón Agregar , seleccione el usuario o grupo y haga clic en Aceptar. En el cuadro de diálogo Agregar grupo o usuario , seleccione un rol y haga clic en Aceptar.

    2. Para quitar el acceso de un usuario o grupo, seleccione el usuario o grupo y haga clic en el botón Quitar .

    3. Para modificar los roles y permisos delegados a un usuario o grupo, seleccione el botón Opciones avanzadas . En el cuadro de diálogo Permisos , seleccione el usuario o grupo, active la casilla de cada rol que se asignará a ese usuario o grupo y, a continuación, haga clic en Aceptar.

      Nota El editor y el aprobador incluyen permisos de revisor.

Consideraciones adicionales

  • De forma predeterminada, debe ser administrador de AGPM (control total) para realizar este procedimiento. En concreto, debe tener el permiso Modificar seguridad para el dominio.

  • Para delegar el acceso de lectura a directiva de grupo administradores que usan AGPM, debe concederles permisos de contenido de lista y de configuración de lectura. Esto les permite ver GPO en la pestaña Contenido de AGPM. Otros permisos deben delegarse explícitamente.

  • Se debe conceder a los editores permiso de lectura para que la copia implementada de un GPO haga uso completo de directiva de grupo instalación de software.

  • La pertenencia al grupo propietarios de creadores de directiva de grupo debe estar restringida, por lo que no se usa para eludir la administración de AGPM del acceso a gpo. (En la consola de administración de directiva de grupo, haga clic en directiva de grupo Objetos en el bosque y dominio en el que desea administrar gpo, haga clic en Delegación y, a continuación, configure los valores para satisfacer las necesidades de su organización).

Referencias adicionales